{"id":1164515,"date":"2024-02-02T07:32:20","date_gmt":"2024-02-02T07:32:20","guid":{"rendered":"https:\/\/teknomers.com\/es\/infraccion-de-cloudflare-los-piratas-informaticos-de-los-estados-nacionales-acceden-al-codigo-fuente-y-a-los-documentos-internos\/"},"modified":"2024-02-02T07:32:24","modified_gmt":"2024-02-02T07:32:24","slug":"infraccion-de-cloudflare-los-piratas-informaticos-de-los-estados-nacionales-acceden-al-codigo-fuente-y-a-los-documentos-internos","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/infraccion-de-cloudflare-los-piratas-informaticos-de-los-estados-nacionales-acceden-al-codigo-fuente-y-a-los-documentos-internos\/","title":{"rendered":"Infracci\u00f3n de Cloudflare: los piratas inform\u00e1ticos de los estados nacionales acceden al c\u00f3digo fuente y a los documentos internos"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>02 de febrero de 2024<\/span>\ue804<\/i>Sala de redacci\u00f3n<\/span><\/span>Violaci\u00f3n de datos\/seguridad en la nube<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Cloudflare ha revelado que fue el objetivo de un probable ataque de un estado-naci\u00f3n en el que el actor de la amenaza aprovech\u00f3 las credenciales robadas para obtener acceso no autorizado a su servidor Atlassian y, en \u00faltima instancia, acceder a cierta documentaci\u00f3n y una cantidad limitada de c\u00f3digo fuente.<\/p>\n

La intrusi\u00f3n, que tuvo lugar entre el 14 y el 24 de noviembre de 2023 y fue detectada el 23 de noviembre, se llev\u00f3 a cabo “con el objetivo de obtener acceso persistente y generalizado a la red global de Cloudflare”, la empresa de infraestructura web. dicho<\/a>describiendo al actor como “sofisticado” y que “operaba de manera reflexiva y met\u00f3dica”.<\/p>\n

Como medida de precauci\u00f3n, la compa\u00f1\u00eda dijo adem\u00e1s que rot\u00f3 m\u00e1s de 5.000 credenciales de producci\u00f3n, sistemas de prueba y preparaci\u00f3n segmentados f\u00edsicamente, llev\u00f3 a cabo clasificaciones forenses en 4.893 sistemas, volvi\u00f3 a crear im\u00e1genes y reinici\u00f3 todas las m\u00e1quinas en su red global.<\/p>\n

El incidente implic\u00f3 un per\u00edodo de reconocimiento de cuatro d\u00edas para acceder a los portales Atlassian Confluence y Jira, tras lo cual el adversario cre\u00f3 una cuenta de usuario maliciosa de Atlassian y estableci\u00f3 un acceso persistente a su servidor Atlassian para finalmente obtener acceso a su sistema de gesti\u00f3n de c\u00f3digo fuente Bitbucket mediante el Marco de simulaci\u00f3n de adversario plateado.<\/p>\n

\"La<\/a><\/center><\/div>\n

Se visitaron hasta 120 repositorios de c\u00f3digo, de los cuales se estima que 76 fueron extra\u00eddos por el atacante.<\/p>\n

“Los 76 repositorios de c\u00f3digo fuente estaban casi todos relacionados con c\u00f3mo funcionan las copias de seguridad, c\u00f3mo se configura y administra la red global, c\u00f3mo funciona la identidad en Cloudflare, el acceso remoto y nuestro uso de Terraform y Kubernetes”, dijo Cloudflare.<\/p>\n

“Un peque\u00f1o n\u00famero de repositorios conten\u00edan secretos cifrados que se rotaban inmediatamente a pesar de que ellos mismos estaban fuertemente cifrados”.<\/p>\n

Luego se dice que el actor de amenazas intent\u00f3 sin \u00e9xito “acceder a un servidor de consola que ten\u00eda acceso al centro de datos que Cloudflare a\u00fan no hab\u00eda puesto en producci\u00f3n en S\u00e3o Paulo, Brasil”.<\/p>\n

El ataque se logr\u00f3 utilizando un token de acceso y tres credenciales de cuenta de servicio asociadas con Amazon Web Services (AWS), Atlassian Bitbucket, Moveworks y Smartsheet que fueron robados luego del hackeo en octubre de 2023 del sistema de gesti\u00f3n de casos de soporte de Okta.<\/p>\n

\"La<\/a><\/center><\/div>\n

Cloudflare reconoci\u00f3 que no hab\u00eda rotado estas credenciales, asumiendo err\u00f3neamente que no estaban en uso.<\/p>\n

La compa\u00f1\u00eda tambi\u00e9n dijo que tom\u00f3 medidas para terminar todas las conexiones maliciosas originadas por el actor de la amenaza el 24 de noviembre de 2024. Tambi\u00e9n involucr\u00f3 a la firma de ciberseguridad CrowdStrike para realizar una evaluaci\u00f3n independiente del incidente.<\/p>\n

“Los \u00fanicos sistemas de producci\u00f3n a los que el actor de amenazas pudo acceder utilizando las credenciales robadas fue nuestro entorno Atlassian. Al analizar las p\u00e1ginas wiki a las que accedieron, los problemas de la base de datos de errores y los repositorios de c\u00f3digo fuente, parece que estaban buscando informaci\u00f3n sobre la arquitectura, la seguridad y la gesti\u00f3n. de nuestra red global”, afirm\u00f3 Cloudflare.<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 interesante este art\u00edculo? Siga con nosotros Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n